Bugs de ransomware sendo explorados para bloquear a criptografia - OSTEC

This post is also available in: Português

Geralmente, os cibercriminosos exploram vulnerabilidades em redes corporativas para obter acesso indevido. Porém, em uma reviravolta interessante, um pesquisador encontrou explorações nas ameaças de ransomware mais comuns.

Famílias de ransomware como LockBit, REvil, Conti e Black Basta têm bugs que, se explorados, os impedem de criptografar qualquer arquivo.

Bugs exploráveis em malware

Segundo o pesquisador hyp3rlix, todas as amostras de malware estão expostas ao sequestro de DLL, um método usado para injetar código malicioso em um aplicativo genuíno. O bug pode ser explorado para interromper a criptografia de arquivos.

Para explorar vulnerabilidades no malware, o pesquisador criou um código de exploração e o compilou em uma DLL com um determinado nome para que o código malicioso o identificasse como seu e o carregasse no processo de criptografia.

O pesquisador forneceu um relatório que explica o tipo de vulnerabilidade detectada, o hash da amostra e uma prova de conceito, juntamente com um vídeo de demonstração para cada um dos malwares, incluindo LockBit, REvil, Conti e Black Basta.

Como funciona?

O pesquisador afirma que, para desengajar os ataques da família ransomware, a DLL deve ser colocada em um local onde os cibercriminosos executam o ransomware. Como por exemplo, local de rede com dados importantes.

Depois que a DLL de exploração for carregada, o processo de ransomware deve terminar antes de iniciar a criptografia.

Embora o malware possa interromper as soluções de segurança na máquina infectada, ele não pode fazer nada contra as DLLs, pois são apenas arquivos salvos no disco do host.

Se as amostras de malware forem recentes, é possível que a exploração funcione apenas por um período mais curto. Os grupos de ransomware podem corrigir esses bugs assim que forem detectados publicamente.

Projeto Malvuln

O trabalho do pesquisador hyp3rlinx está sendo rastreado sob o nome de projeto Malvuln, com foco na descoberta de vulnerabilidades em diferentes tipos de malwares, como trojans, backdoors, spyware e infostealers (RedLine, por exemplo).

A exploração de bugs no ransomware para interromper a criptografia é realmente uma boa maneira de impedir ataques ransomware. Além disso, o projeto Malvuln poderia ajudar a comunidade de segurança a desenvolver alternativas mais adequadas de proteção.

Fonte: BleepingComputer.

This post is also available in: Português

Diagnóstico que avalia a nível de conformidade com a Lei Geral de Proteção de Dados

Fazer diagnóstico

Ebooks 5 Dicas para evitar sequestro de dados

Nossas 5 dicas fundamentais para evitar sequestro de dados

Baixar eBook

Ebooks 10 dicas essenciais para aquisição de firewalls

Conheça os principais tópicos a serem considerados na aquisição de um firewall.

Baixar eBook

Ebooks Guia Lei Geral de Proteção de Dados

Documento completo para ambientalização à Lei Geral de Proteção de Dados

Baixar eBook

Bugs exploráveis em malware

Como funciona?

Projeto Malvuln

GitHub irá exigir que desenvolvedores ativem a autenticação de dois fatores

Grave falha em ferramenta de firewall deixa dados e sistemas vulneráveis a sequestro

Cadastre-se em nossa newsletter